Come visto in precedenti post la distribuzione di false applicazioni antivirus e' sempre molto attiva sfruttando sia link present in pagine incluse che posts su forum o pagine web che consentono di scrivere commenti, pagine di guest books ecc...
Quella che vediamo e' una attuale pagina hostata su dominio universitario IT che propone un sito personale con la possibilita' di pubblicare commenti a quanto proposto dal sito stesso:
I commenti fake piu' recenti, naturalmente indicizzati da Google, presentano links testuali che puntano ad altrettanti posts fake presenti su diversi servizi di free blogging
e dove notiamo una immagine e la presenza di due scelte relative a links a sito con contenuti per adulti.Si tratta di un layout utilizzato e ben noto da tempo, dove entrambe le scelte (YES o NO) redirigono entrambe su altrettanto ben noto e datato layout di fake sito di filmati porno
con whois Est Europeo.Quelli che non sono 'datati' sono invece i contenuti linkati dalle immagini, che vedevano nella giornata di ieri (9 luglio ) un eseguibile con riconoscimento nullo sia su VT che su VirScan.
Attualmente abbiamo con VT
mentre con VirScan
Come sempre per verificare il reale contenuto del file proviamo ad eseguirlo in Vbox Linux ottenendo
che rivela la natura di fake AV del file.Si tratta del 'conosciuto' XP Security 2012 gia' ampiamente trattato in questo post, dove si descrivevano le differenti varianti della falsa applicazione AV.
Il falso antivirus appartiene, come gia' descritto, ad una famiglia di fake AV che producono una intensa azione di hijacking delle applicazioni che normalmente usano internet quali ad esempio i browsers.
In particolare, nel caso odierno, viene sostituita la pagina linkata dalla URL in uso, con una pagina di allerta fasulla (nello screenshot es. di homepage google.com sostituita dal fake messaggio)
La cosa e' ancora piu' evidente se visualizziamo la pagina Speed Dial del browser Opera dove tutte le pagine dei siti in elenco sono 'mascherate' dal messaggi di allerta generati dalla falsa applicazione AV
Qui un link a uno dei siti che trattano delle caratteristiche e della rimozione del fake AV dal PCEdgar
Nessun commento:
Posta un commento